Saltar al contenido

Seguridad WordPress

Base de datos de vulnerabilidades

Fuente base: WPScan. Cada ficha puede incluir enriquecimiento editorial con IA para contexto técnico, impacto y mitigación.

Visual abstracto sobre base de datos de vulnerabilidades WordPress
40.352 vulnerabilidades

wordpress

378

plugin

36942

theme

3032

MEDIUM CVSS 5.4
PLUGIN xss CVE-2026-1927

GreenShift - Animation and Page Builder Blocks <= 12.6 - Missing Authorization to Authenticated (Subscriber+) Information Disclosure of AI API Keys and Stored Cross-Site Scripting via custom_css

greenshift-animation-and-page-builder-blocks

Publicado: 05/02/2026

Se ha identificado una vulnerabilidad de tipo XSS en el plugin GreenShift - Animation and Page Builder Blocks, que afecta a las versiones hasta la 12.6. E…

HIGH CVSS 8.8
PLUGIN upload CVE-2026-1499

WP Duplicate <= 1.1.8 - Authenticated (Subscriber+) Arbitrary File Upload via 'process_add_site' AJAX Action

local-sync

Publicado: 05/02/2026

Se ha identificado una vulnerabilidad crítica en el plugin WP Duplicate, que permite la carga arbitraria de archivos a través de una acción AJAX específic…

HIGH CVSS 8.2
PLUGIN sqli CVE-2025-13192

Popup builder with Gamification <= 2.2.0 - Unauthenticated SQL Injection via Multiple REST API Endpoints

popup-builder-block

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad crítica de inyección SQL en el plugin Popup Builder con Gamification, que afecta a las versiones hasta la 2.2.0. Est…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1268

Dynamic Widget Content <= 1.3.6 - Authenticated (Contributor+) Stored Cross-Site Scripting via Widget Content Field

dynamic-widget-content

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Dynamic Widget Content, que afecta a las versiones hasta la 1.3.6. E…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-0867

Essential Widgets <= 3.0 - Authenticated (Contributor+) Stored Cross-Site Scripting via Multiple Shortcodes

essential-widgets

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Essential Widgets, que afecta a versiones hasta la 3.0. Este fallo p…

MEDIUM CVSS 4.9
PLUGIN CVE-2026-1246

ShortPixel Image Optimizer <= 6.4.2 - Authenticated (Editor+) Arbitrary File Read via 'loadFile' Parameter

shortpixel-image-optimiser

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad de lectura arbitraria de archivos en el plugin ShortPixel Image Optimizer, afectando a versiones hasta la 6.4.2. Est…

MEDIUM CVSS 4.3
PLUGIN CVE-2025-13416

ProfileGrid – User Profiles, Groups and Communities <= 5.9.7.2 - Missing Authorization to Authenticated (Subscriber+) Arbitrary User Suspension

profilegrid-user-profiles-groups-and-communities

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad en el plugin ProfileGrid – User Profiles, Groups and Communities en versiones hasta la 5.9.7.2, que permite la suspe…

MEDIUM CVSS 6.4
PLUGIN xss CVE-2026-1319

Robin Image Optimizer <= 2.0.2 - Authenticated (Author+) Stored Cross-Site Scripting via Image Alternative Text Field

robin-image-optimizer

Publicado: 04/02/2026

Se ha detectado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin Robin Image Optimizer en versiones hasta la 2.0.2. Esta falla permite l…

MEDIUM CVSS 5.3
PLUGIN CVE-2025-14079

ELEX WordPress HelpDesk & Customer Ticketing System <= 3.3.5 - Missing Authorization to Authenticated (Subscriber+) Settings Update

elex-helpdesk-customer-support-ticket-system

Publicado: 04/02/2026

Se ha detectado una vulnerabilidad de tipo medio en el plugin ELEX WordPress HelpDesk & Customer Ticketing System, que afecta a las versiones hasta la 3.3…

HIGH CVSS 7.2
PLUGIN ssrf CVE-2026-1294

All In One Image Viewer Block <= 1.0.2 - Unauthenticated Server-Side Request Forgery via image-proxy Endpoint

image-viewer

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad crítica de tipo Server-Side Request Forgery (SSRF) en el plugin All In One Image Viewer Block, que afecta a las vers…

MEDIUM CVSS 6.1
PLUGIN xss CVE-2026-1654

Peter's Date Countdown <= 2.0.0 - Reflected Cross-Site Scripting via $_SERVER['PHP_SELF']

peters-date-countdown

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en el plugin 'Peter's Date Countdown' en versiones hasta 2.0.0. Esta vulnerabilid…

MEDIUM CVSS 5.3
PLUGIN idor CVE-2026-1271

ProfileGrid <= 5.9.7.2 - Insecure Direct Object Reference to Authenticated (Subscriber+) Arbitrary User Profile and Cover Image Modification

profilegrid-user-profiles-groups-and-communities

Publicado: 04/02/2026

Se ha identificado una vulnerabilidad de referencia de objeto directo inseguro (IDOR) en el plugin ProfileGrid hasta la versión 5.9.7.2, que permite a usu…

Análisis WP Contacto

Tu privacidad nos importa

Usamos solo cookies técnicas hasta que elijas. Puedes aceptar, rechazar o configurar por categoría con la misma facilidad. Si aceptas analítica, usaremos un identificador anónimo para entender navegación, formularios, chat y análisis WP.

Asistente WP SeguridadWP.es

Asistencia sobre seguridad WordPress · Privacidad